基于区块链的物联网设备认证方法及装置与流程

1.本发明涉及物联网安全和区块链技术领域，尤其涉及基于区块链的物联网设备认证方法及装置。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.物联网已渗透到日常生活和工业生产的各个领域，终端设备数量不断增长，物理结构和功能越来越复杂，在地理位置的分布也越来越分散且广泛。这对终端设备的安全管理提出了更高的要求，如何在保证服务响应速度的同时保证终端接入的安全性，保证网络不被入侵是目前亟待解决的问题。
4.传统网络架构采用集中式认证，在设备数量爆炸情况下存在线率低下、单点故障的问题，见图7。
5.而在改进的分布式认证架构中，使用分散的认证节点完成对终端设备的分布式认证，虽然可以缓解单一中心负担重、效率低的问题，但是存在不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题，见图8。


技术实现要素：

6.本发明实施例提供一种基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法用以提升物联网设备认证的效率、可拓展性、高可用性和信息安全性，该方法包括：
7.接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；
8.对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；
9.接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；
10.在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
11.本发明实施例还提供一种基于区块链的物联网设备认证装置，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设
备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该装置用以提升物联网设备认证的效率、可拓展性、高可用性和信息安全性，该装置包括：
12.信息接收模块，用于接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；
13.检验模块，用于对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；
14.入侵事件分析模块，用于接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；
15.授权模块，用于在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
16.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于区块链的物联网设备认证方法。
17.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述基于区块链的物联网设备认证方法。
18.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述基于区块链的物联网设备认证方法。
19.本发明实施例中的基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据，从而通过在区块链网络接收到物联网设备的接入认证请求时，在物联网设备节点与区块链节点之间进行多次验证，提高了物联网设备接入的安全性，也将中心化的认证服务拆分到部署在大量分布式的边缘认证节点上，形成分布式认证节点群，将区块链服务部署在边缘认证节点上，保证节点间的相互信任和信息透明，减轻了中心服务器的负担同
时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性，解决了传统集中式架构存在的效率低下、拓展性差、单点故障等问题，提升了物联网设备认证的效率、可拓展性和高可用性；同时，将区块链技术应用到分布式认证架构的节点管理中，可解决认证节点间信息共享和信任问题，也解决了不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题；此外，实现对接入认证请求是否为入侵事件的验证，结合区块链的投票仲裁和共识算法，也可保证物联网设备认证的信息安全性。
附图说明
20.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
21.图1为本发明实施例中一种基于区块链的物联网设备认证方法的流程示意图；
22.图2为本发明实施例中一种基于区块链的物联网设备认证方法的具体示例图；
23.图3为本发明实施例中一种区块链网络架构的功能示例图；
24.图4为本发明实施例中一种区块链网络架构的结构示例图；
25.图5为本发明实施例中一种基于区块链的物联网设备认证方法的具体示例图；
26.图6为本发明实施例中一种基于区块链的物联网设备认证方法的具体示例图；
27.图7为本发明实施例中一种现有技术下集中式认证架构的具体示例图；
28.图8为本发明实施例中一种现有技术下分布式认证架构的具体示例图；
29.图9为本发明实施例中一种基于区块链的物联网设备认证装置的结构示意图；
30.图10为本发明实施例中用于基于区块链的物联网设备认证的计算机设备示意图。
具体实施方式
31.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
32.本文中术语“和/或”，仅仅是描述一种关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括a、b、c中的至少一种，可以表示包括从a、b和c构成的集合中选择的任意一个或多个元素。
33.在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本技术的实施，其中的步骤顺序不作限定，可根据需要作适当调整。
34.本技术技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关
规定。
35.物联网已渗透到日常生活和工业生产的各个领域，终端设备数量不断增长，物理结构和功能越来越复杂，在地理位置的分布也越来越分散且广泛。这对终端设备的安全管理提出了更高的要求，如何在保证服务响应速度的同时保证终端接入的安全性，保证网络不被入侵是目前亟待解决的问题。
36.传统网络架构采用集中式认证，在设备数量爆炸情况下存在线率低下、单点故障的问题，见附图7。
37.而在改进的分布式认证架构中,使用分散的认证节点完成对终端设备的分布式认证，虽然可以缓解单一中心负担重、效率低的问题，但是存在不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题，见附图8。
38.为了解决上述问题，本发明实施例提供一种基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法用以提升物联网设备认证的效率、可拓展性、高可用性和信息安全性，如图1所示，该方法包括：
39.步骤101：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；
40.步骤102：对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；
41.步骤103：接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；
42.步骤104：在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
43.本发明实施例中的基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述
设备数据，从而通过在区块链网络接收到物联网设备的接入认证请求时，在物联网设备节点与区块链节点之间进行多次验证，提高了物联网设备接入的安全性，也将中心化的认证服务拆分到部署在大量分布式的边缘认证节点上，形成分布式认证节点群，将区块链服务部署在边缘认证节点上，保证节点间的相互信任和信息透明，减轻了中心服务器的负担同时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性，解决了传统集中式架构存在的效率低下、拓展性差、单点故障等问题，提升了物联网设备认证的效率、可拓展性和高可用性；同时，将区块链技术应用到分布式认证架构的节点管理中，可解决认证节点间信息共享和信任问题，也解决了不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题；此外，实现对接入认证请求是否为入侵事件的验证，结合区块链的投票仲裁和共识算法，也可保证物联网设备认证的信息安全性。
44.具体实施时，首先接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据。
45.实施例中将中心化的认证服务拆分到部署在边缘端的大量边缘计算节点(即上述的边缘认证节点)上，形成分布式认证节点群。将区块链服务部署在节点群，保证节点间的相互信任和信息透明。
46.在一个实施例中，边缘认证节点可包括：边缘服务器、边缘网关，或者靠近边缘算力较强具有一定存储能力的设备(个人电脑，工作站等)。节点自身拥有自己生成的公私钥对，负责对终端设备进行分布式认证与终端设备进行加密通信，并且部署了区块链和智能合约保证认证信息的一致性和安全性，是认证节点也是区块链节点。
47.在一个实施例中，物联网设备节点对物联网设备进行第一检验，包括：
48.物联网设备节点将携带有物联网设备的密钥的授权申请信息，发送至授权中心；所述授权中心用于根据所述授权申请信息对所述物联网设备进行请求合法性检验；
49.在请求合法性检验通过后，向合法验证设备发出第一身份挑战认证请求；所述向合法验证设备用于对所述第一身份挑战认证请求进行检验。
50.实施例中，轻量化授权中心(lac)可位于云层的云端授权节点，负责对整个认证体系中的设备和认证节点身份进行授权。当收到新设备的授权请求时，检查设备的合法性，并通过非对称加密技术，对设备独有信息进行签名，生成设备身份授权令牌。
51.在一个实施例中，物联网设备节点在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据，包括：
52.物联网设备节点在第一检验通过后，对设备信息和设备密钥进行签名处理，生成设备身份令牌；
53.向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据。
54.在一个实施例中，终端设备连接物联网设备节点，在形成物联网设备的密钥时，可按如下方式生成：首先，五莲玩设备可分为计算能力强的全能力终端设备和资源受限的设备；而全能力设备自己生成自己的公私钥，但资源受限设备无法承担加密算法由代理服务器进行接入。在接入完成后进行数据采集和加密通信上传。
55.在上述实施例中的区块链，是一个点对点的拓扑结构，节点间的交易需要得到整个网络的认可才会被确认，并且交易对外公开透明，可避免单节点作恶。网络中部分节点的宕机并不会影响整个网络的使用，具备一定健壮性。将区块链技术应用到分布式认证架构的节点管理中，可解决认证节点间信息共享和信任问题，并且提高认证架构的可用性。
56.在上述实施例中，通过区块链技术管理这些认证节点，保证节点之间的信任和一致性。该架构减轻了中心服务器的负担同时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性。
57.具体实施时，在接收物联网设备节点发送的接入认证请求和设备数据后，对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验。
58.实施例中，对接入认证请求进行第二检验，包括：
59.在确认所述物联网设备不处于受信任列表中时，对所述接入认证请求进行设备身份令牌认证检验；
60.在设备身份令牌认证检验通过且确定物联网设备在授权有效期内时，对所述接入认证请求进行身份认证挑战检验；
61.在身份认证挑战检验通过后，对物联网设备进行密钥合法性检验。
62.具体实施时，在对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验后，接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络。
63.在一个实施例中，所述区块链网络具体用于：在所述分析结果表征所述接入认证请求为入侵事件时，根据网络中每一节点对所述分析结果进行投票仲裁的结果，以共识算法，生成仲裁结果；在仲裁结果表示该接入认证请求为入侵事件时，对所述物联网设备节点进行屏蔽处理和告警处理。
64.在一个实施例中，还包括：
65.对确定为入侵事件的接入认证请求，对发出该接入认证请求的物联网设备节点和对应的物联设备进行特征数据采集；
66.对所述物联网设备节点进行告警处理，包括：
67.发出表征物联网设备节点发生入侵事件的告警信息；所述告警信息携带有从物联网设备节点和对应的物联设备采集的特征数据。
68.在上述实施例中，为了解决现阶段存在的如下问题：接入认证可保证非法节点无法接入网络，但存在一些恶意节点对认证节点发起拒绝服务攻击，使认证节点无法工作。为解决此问题，本发明实施例中当接入请求发送到认证节点时会同步将认证请求发送到事件分析器，当分析器认为此事件为恶意入侵事件时，当前认证节点会将此信息光广播到区块链网络中，由区块链网络中的其他节点对此事件进行投票仲裁，通过共识算法达成共识，当仲裁为恶意事件时，会对此请求的发起节点进行屏蔽处理，并将此恶意信息数据进行采集，通过web端展示给平台管理人员进行进一步处理。其中，采集的信息数据的特征可以包括：报文发送频率、报文发送时间、报文内容、报文发送地址等。
69.具体实施时，在接收事件分析器对所述接入认证请求是否为入侵事件的分析结果
后，在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
70.在一个实施例中，所述云端授权节点具体用于：
71.对所述通知信息进行广播，并接收区块链网络中每一节点对所述通知信息的共识结果；在所述共识结果表示超过预设数量的节点对所述通知信息的共识通过后，将所述通知信息写入到对应区块链网络的区块链账本中
72.在一个实施例中，所述云端授权节点具体用于：
73.在接收到所述设备数据时，将对应设备数据的哈希值存储与对应区块链网络的区块链账本中。
74.在上述实施例中，本发明实施例中的区块链网络可依托于geth客户端节点，可以实现信息的一致性维护和节点共识。首先每条认证信息都需要经过所有节点的共识，经过半数以上节点认可的信息才会被通过，写入到共同维护的区块链账本中，实现信息的公开透明。通过平台的智能合约技术可编写信息处理程序将数据的hash值存储在区块链的账本中实现数据传输过程的可溯源和防篡改，智能合约是区块链对外提供的编程接口，与传统代码不同，智能合约代码时无法修改的，由智能合约代码编写的数据处理程序可保证数据的可信。
75.下面给出一个具体实施例，来说明本发明的方法的具体应用，该实施例中的物联网设备认证区块链网络可由区块链网络架构来生成。
76.如下，如图2所示，对该实施例所依托的网络架构进行说明：
77.本实施例中的一种基于区块链的分布式认证架构，将中心化的认证服务拆分到部署在边缘端的大量边缘计算节点上，形成分布式认证节点群。将区块链服务部署在节点群，保证节点间的相互信任和信息透明。本架构解决了单一的中心化架构负担重、效率低、拓展性差和单点故障问题。
78.该网络架构可将认证服务从中心转移到边缘计算节点，形成分布式的边缘认证节点，通过区块链技术管理这些认证节点，保证节点之间的信任和一致性。该架构减轻了中心服务器的负担同时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性。经分析，本架构具有安全高效、信息安全、可用性强等特点。
79.本实施例中，上述网络架构分为云层、边缘层、感知层。云层负责数据的存储和计算以及全部认证信息的维护，对边缘节点和终端设备进行授权。边缘层的认证节点直接负责处理终端设备提交的接入请求，并参与区块链私有网络的维护。任何终端的认证信息都会在区块链网络中进行共识上链。受信任设备的信息在网络中公开透明，可以与其他设备进行数据传输，打破信任问题。感知层又大量终端设备组成，它们负责物理信息和数据的采集，并在接入网络后将数据向上层传输。
80.参加图2，如下对架构的基本信息进行说明：
81.(1)轻量化授权中心(lac)
82.位于云层，是权威中心。负责对整个认证体系中的设备和认证节点身份进行授权。当收到新设备的授权请求时，检查设备的合法性，并通过非对称加密技术，对设备独有信息
进行签名，生成设备身份授权令牌。
83.(2)终端设备和代理服务器
84.位于感知层。分为计算能力强的全能力终端设备和资源受限的设备。全能力设备自己生成自己的公私钥，资源受限设备无法承担加密算法由代理服务器进行接入。在接入完成后进行数据采集和加密通信上传。
85.(3)边缘计算节点
86.位于边缘层。主要为边缘服务器、边缘网关，或者靠近边缘算力较强具有一定存储能力的设备(个人电脑，工作站等)组成，拥有自己生成的公私钥对，负责对终端设备进行分布式认证与终端设备进行加密通信，并且部署了区块链和智能合约保证认证信息的一致性和安全性，是认证节点也是区块链节点。
87.如图3所示，对架构所能实现的功能进行说明：
88.基于网络架构提出本发明的功能架构，相比于传统的物理网三层架构，本实施例将基于云中心的认证服务部署到边缘层，同时在边缘层添加了区块链节点共识、访问控制等服务，使边缘层在身份认证过程发挥核心作用，提高认证的响应速度。进一步缓解云中心计算压力。
89.如图4所示，如下对网络架构所形成的区块链网络中的节点对接入认证请求的认证过程进行举例说明：
90.1、如图4所示，为物联网设备节点进行设备认证的步骤说明，即架构应用初始化阶段：
91.step1：终端设备执行算法生成自己的公钥pk和私钥sk。
92.step2：终端设备向轻量化授权中心(lac)提交授权申请。
93.step3：lac检验设备是否合法。若不合法，拒绝授权。
94.step4：lac向合法设备提出身份挑战。
95.step5：身份挑战通过，lac对设备的独有信息(包含设备公钥)进行签名，生成设备身份令牌；身份挑战失败，拒绝授权。
96.2、如图5所示，为边缘认证节点进行设备认证的步骤说明，即架构应用的接入认证阶段：
97.step1：终端设备向认证节点提交认证请求，并附带认证信息(令牌和设备公钥等)。
98.step2：判断设备是否在受信任列表中，若不存在执行step3，若存在执行step5。
99.step3：使用lac的公钥pk
lac
验证令牌是否合法，若不合法，拒绝接入。
100.step4：验证设备是否在授权期内，若存在，进行身份挑战，若不在，拒绝接入。
101.step5：认证节点向设备发起身份挑战，验证设备的公钥和私钥的合法性，若挑战失败，拒绝接入。
102.step6：将通过认证的设备信息发布到区块链网络中，并添加到受信任列表中。
103.3、如图6所示，为物联网设备节点、边缘认证节点和云端授权节点进行设备认证后执行数据传输的步骤说明，即架构应用的数据传输阶段：
104.step1：边缘节点生成会话密钥发送给终端设备。
105.step2：终端设备将采集的数据使用会话密钥加密，传输给认证节点。
106.step3：边缘节点接收数据，并验证数据完整性。
107.step4：边缘节点将数据摘要存储到区块链网络中，将数据上传云端。
108.本实施例中的该架构可执行如下的异常入侵保护操作：
109.接入认证可保证非法节点无法接入网络，但存在一些恶意节点对认证节点发起拒绝服务攻击，使认证节点无法工作。为解决此问题，本架构设置异常入侵保护模块。当接入请求发送到认证节点时会同步将认证请求发送到事件分析器，当分析器认为此事件为恶意入侵事件时，当前认证节点会将此信息光广播到区块链网络中，由区块链网络中的其他节点对此事件进行投票仲裁，通过共识算法达成共识，当仲裁为恶意事件时，会对此请求的发起节点进行屏蔽处理，并将此恶意信息数据进行采集，通过web端展示给平台管理人员进行进一步处理。(注：异常事件的特征有：报文发送频率、报文发送时间、报文内容、报文发送地址)。
110.本实施例中的该架构可执行如下的信息维护与展示操作：
111.本架构的区块链网络依托于geth客户端节点，可以实现信息的一致性维护和节点共识。首先每条认证信息都需要经过所有节点的共识，经过半数以上节点认可的信息才会被通过，写入到共同维护的区块链账本中，实现信息的公开透明。通过平台的智能合约技术可编写信息处理程序将数据的hash值存储在区块链的账本中实现数据传输过程的可溯源和防篡改，智能合约是区块链对外提供的编程接口，与传统代码不同，智能合约代码时无法修改的，由智能合约代码编写的数据处理程序可保证数据的可信。
112.此外，该架构还可执行如下的数据展示操作：
113.数据处理展示功能对其他各节点传来的要与区块链通信的消息进行简单封装，通过调用web3j的api功能，使用json-rpc进行信息传递；在数据展示阶段包括对账本中的数据进行统计，监视数据动态：进行数据追湖，验证数据历史；并对关键数据信息进行可视化处理和持久性存储。
114.当然，可以理解的是，上述详细流程还可以有其他变化例，相关变化例均应落入本发明的保护范围。
115.本发明实施例中的基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据，从而通过在区块链网络接收到物联网设备的接入认证请求时，在物联网设备节点与区块链节点之间进行多次验证，提高了物联网设备接入的安全性，也将中心化的认证
服务拆分到部署在大量分布式的边缘认证节点上，形成分布式认证节点群，将区块链服务部署在边缘认证节点上，保证节点间的相互信任和信息透明，减轻了中心服务器的负担同时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性，解决了传统集中式架构存在的效率低下、拓展性差、单点故障等问题，提升了物联网设备认证的效率、可拓展性和高可用性；同时，将区块链技术应用到分布式认证架构的节点管理中，可解决认证节点间信息共享和信任问题，也解决了不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题；此外，实现对接入认证请求是否为入侵事件的验证，结合区块链的投票仲裁和共识算法，也可保证物联网设备认证的信息安全性。
116.如上述，本发明实施例涉及物联网安全领域、区块链技术和物联网拓扑结构技术领域，帮助解决日益增长的终端设备数量接入网络所带来的接入认证问题。而针对传统物联网架构存在的问题，本发明中的基于区块链的分布式认证架构，解决了传统集中式架构存在的效率低下、拓展性差、单点故障等问题。网络架构分为云层、边缘层和感知层，在边缘层的边缘计算节点作为认证节点完成对感知层设备的接入认证，并对感知层的数据进行预处理，云层负责海量数据的存储、计算和应用。区块链服务部署在边缘计算节点构成区块链网络，可以实现认证信息的透明、防篡改、可溯源，避免单一节点的作恶。在网络架构的基础上给出了功能架构，给出了具体功能模块的部署方案，做到系统解耦提高效率。还提出了完整的接入认证方案，从设备注册、设备接入认证、设备数据传输三个步骤阐释了工作流程。实现了设备的安全高效认证和可靠的数据传输。
117.本发明实施例中还提供了一种基于区块链的物联网设备认证装置，如下面的实施例所表述的。由于该装置解决问题的原理与基于区块链的物联网设备认证方法相似，因此该装置的实施可以参见基于区块链的物联网设备认证方法的实施，重复之处不再赘述。
118.本发明实施例还提供一种基于区块链的物联网设备认证装置，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该装置用以提升物联网设备认证的效率、可拓展性、高可用性和信息安全性，如图9所示，该装置包括：
119.信息接收模块901，用于接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；
120.检验模块902，用于对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；
121.入侵事件分析模块903，用于接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；
122.授权模块904，用于在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
123.在一个实施例中，物联网设备节点对物联网设备进行第一检验，包括：
124.将携带有物联网设备的密钥的授权申请信息，发送至授权中心；所述授权中心用于根据所述授权申请信息对所述物联网设备进行请求合法性检验；
125.在请求合法性检验通过后，向合法验证设备发出第一身份挑战认证请求；所述向合法验证设备用于对所述第一身份挑战认证请求进行检验。
126.在一个实施例中，物联网设备节点在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据，包括：
127.物联网设备节点在第一检验通过后，对设备信息和设备密钥进行签名处理，生成设备身份令牌；
128.向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据。
129.在一个实施例中，检验模块，具体用于：
130.在确认所述物联网设备不处于受信任列表中时，对所述接入认证请求进行设备身份令牌认证检验；
131.在设备身份令牌认证检验通过且确定物联网设备在授权有效期内时，对所述接入认证请求进行身份认证挑战检验；
132.在身份认证挑战检验通过后，对物联网设备进行密钥合法性检验。
133.在一个实施例中，还包括：
134.特征数据采集模块，用于：
135.对确定为入侵事件的接入认证请求，对发出该接入认证请求的物联网设备节点和对应的物联设备进行特征数据采集；
136.入侵事件分析模块，具体用于：
137.发出表征物联网设备节点发生入侵事件的告警信息；所述告警信息携带有从物联网设备节点和对应的物联设备采集的特征数据。
138.在一个实施例中，所述云端授权节点具体用于：
139.对所述通知信息进行广播，并接收区块链网络中每一节点对所述通知信息的共识结果；在所述共识结果表示超过预设数量的节点对所述通知信息的共识通过后，将所述通知信息写入到对应区块链网络的区块链账本中。
140.在一个实施例中，所述云端授权节点具体用于：
141.在接收到所述设备数据时，将对应设备数据的哈希值存储与对应区块链网络的区块链账本中。
142.本发明实施例提供一种用于实现上述基于区块链的物联网设备认证方法中的全部或部分内容的计算机设备的实施例所述计算机设备具体包含有如下内容：
143.处理器(processor)、存储器(memory)、通信接口(communications interface)和总线；其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；所述通信接口用于实现相关设备之间的信息传输；该计算机设备可以是台式计算机、平板电脑及移动终端等，本实施例不限于此。在本实施例中，该计算机设备可以参照实施例用于实现基于区块链的物联网设备认证方法的实施例及用于实现基于区块链的物联网设备认证装置的实施例进行实施，其内容被合并于此，重复之处不再赘述。
144.图10为本技术实施例的计算机设备1000的系统构成的示意框图。如图10所示，该
计算机设备1000可以包括中央处理器1001和存储器1002；存储器1002耦合到中央处理器1001。值得注意的是，该图10是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。
145.一实施例中，基于区块链的物联网设备认证功能可以被集成到中央处理器1001中。其中，中央处理器1001可以被配置为进行如下控制：
146.接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；
147.对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；
148.接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；
149.在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。
150.在另一个实施方式中，基于区块链的物联网设备认证装置可以与中央处理器1001分开配置，例如可以将基于区块链的物联网设备认证装置配置为与中央处理器1001连接的芯片，通过中央处理器的控制来实现基于区块链的物联网设备认证功能。
151.如图10所示，该计算机设备1000还可以包括：通信模块1003、输入单元1004、音频处理器1005、显示器1006、电源1007。值得注意的是，计算机设备1000也并不是必须要包括图10中所示的所有部件；此外，计算机设备1000还可以包括图10中没有示出的部件，可以参考现有技术。
152.如图10所示，中央处理器1001有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器1001接收输入并控制计算机设备1000的各个部件的操作。
153.其中，存储器1002，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器1001可执行该存储器1002存储的该程序，以实现信息存储或处理等。
154.输入单元1004向中央处理器1001提供输入。该输入单元1004例如为按键或触摸输入装置。电源1007用于向计算机设备1000提供电力。显示器1006用于进行图像和文字等显示对象的显示。该显示器例如可为lcd显示器，但并不限于此。
155.该存储器1002可以是固态存储器，例如，只读存储器(rom)、随机存取存储器(ram)、sim卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为eprom等。存储器1002还可以是某种其它类型的装置。存储器1002包括缓冲存储器1021(有时被称为缓冲器)。存储器1002可以包括应用/功能存储部1022，该应用/功能存储部1022用于存储应用程序和功能程序或用于通过中央
处理器1001执行计算机设备1000的操作的流程。
156.存储器1002还可以包括数据存储部1023，该数据存储部1023用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由计算机设备使用的数据。存储器1002的驱动程序存储部1024可以包括计算机设备的用于通信功能和/或用于执行计算机设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
157.通信模块1003即为经由天线1008发送和接收信号的发送机/接收机1003。通信模块(发送机/接收机)1003耦合到中央处理器1001，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。
158.基于不同的通信技术，在同一计算机设备中，可以设置有多个通信模块1003，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)1003还经由音频处理器1005耦合到扬声器1009和麦克风1010，以经由扬声器1009提供音频输出，并接收来自麦克风1010的音频输入，从而实现通常的电信功能。音频处理器1005可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器1005还耦合到中央处理器1001，从而使得可以通过麦克风1010能够在本机上录音，且使得可以通过扬声器1009来播放本机上存储的声音。
159.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述基于区块链的物联网设备认证方法。
160.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述基于区块链的物联网设备认证方法。
161.本发明实施例中的基于区块链的物联网设备认证方法，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据，从而通过在区块链网络接收到物联网设备的接入认证请求时，在物联网设备节点与区块链节点之间进行多次验证，提高了物联网设备接入的安全性，也将中心化的认证服务拆分到部署在大量分布式的边缘认证节点上，形成分布式认证节点群，将区块链服务部署在边缘认证节点上，保证节点间的相互信任和信息透明，减轻了中心服务器的负担同时也避免了单点故障问题，并可按需灵活配置认证节点提高物联网整体的可拓展性，解决了传统集中式架构存在的效率低下、拓展性差、单点故障等问题，提升了物联网设备认证的效率、可拓展性和高可用性；同时，将区块链技术应用到分布式认证架构的节点管理中，可
解决认证节点间信息共享和信任问题，也解决了不同认证节点间设备的数据无法安全共享以及认证节点间的信任问题；此外，实现对接入认证请求是否为入侵事件的验证，结合区块链的投票仲裁和共识算法，也可保证物联网设备认证的信息安全性。
162.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
163.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
164.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
165.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
166.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种基于区块链的物联网设备认证方法，其特征在于，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。2.如权利要求1所述的方法，其特征在于，物联网设备节点对物联网设备进行第一检验，包括：物联网设备节点将携带有物联网设备的密钥的授权申请信息，发送至授权中心；所述授权中心用于根据所述授权申请信息对所述物联网设备进行请求合法性检验；在请求合法性检验通过后，向合法验证设备发出第一身份挑战认证请求；所述向合法验证设备用于对所述第一身份挑战认证请求进行检验。3.如权利要求1所述的方法，其特征在于，物联网设备节点在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据，包括：物联网设备节点在第一检验通过后，对设备信息和设备密钥进行签名处理，生成设备身份令牌；向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据。4.如权利要求1所述的方法，其特征在于，对接入认证请求进行第二检验，包括：在确认所述物联网设备不处于受信任列表中时，对所述接入认证请求进行设备身份令牌认证检验；在设备身份令牌认证检验通过且确定物联网设备在授权有效期内时，对所述接入认证请求进行身份认证挑战检验；在身份认证挑战检验通过后，对物联网设备进行密钥合法性检验。5.如权利要求1所述的方法，其特征在于，所述区块链网络具体用于：在所述分析结果表征所述接入认证请求为入侵事件时，根据网络中每一节点对所述分析结果进行投票仲裁的结果，以共识算法，生成仲裁结果；在仲裁结果表示该接入认证请求为入侵事件时，对所述物联网设备节点进行屏蔽处理和告警处理。6.如权利要求1所述的方法，其特征在于，还包括：对确定为入侵事件的接入认证请求，对发出该接入认证请求的物联网设备节点和对应
的物联设备进行特征数据采集；对所述物联网设备节点进行告警处理，包括：发出表征物联网设备节点发生入侵事件的告警信息；所述告警信息携带有从物联网设备节点和对应的物联设备采集的特征数据。7.如权利要求1所述的方法，其特征在于，所述云端授权节点具体用于：对所述通知信息进行广播，并接收区块链网络中每一节点对所述通知信息的共识结果；在所述共识结果表示超过预设数量的节点对所述通知信息的共识通过后，将所述通知信息写入到对应区块链网络的区块链账本中。8.如权利要求1所述的方法，其特征在于，所述云端授权节点具体用于：在接收到所述设备数据时，将对应设备数据的哈希值存储与对应区块链网络的区块链账本中。9.一种基于区块链的物联网设备认证装置，其特征在于，应用于物联网设备认证区块链网络中的分布式边缘认证节点，所述物联网设备认证区块链网络包括物联网设备节点、对应每一物联网设备节点的分布式边缘认证节点和云端授权节点，该装置包括：信息接收模块，用于接收物联网设备节点发送的接入认证请求和设备数据；所述物联网设备节点用于对物联网设备进行第一检验；所述第一检验包括请求合法性检验和身份挑战认证检验；在第一检验通过后，向对应的分布式边缘认证节点发出对应物联网设备的密钥、设备身份令牌和设备数据；检验模块，用于对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；入侵事件分析模块，用于接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在所述分析结果表征所述接入认证请求为入侵事件时，将所述分析结果广播到区块链网络；授权模块，用于在第二检验通过且所述分析结果表征所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征所述物联网设备节点通过认证的通知信息和所述设备数据上传至云端授权节点；所述云端授权节点用于对所述通知信息进行广播，并接收存储所述设备数据。10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8任一所述方法。11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。12.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。

技术总结
本发明公开了一种基于区块链的物联网设备认证方法及装置，涉及物联网安全和区块链技术领域，该方法包括：接收物联网设备节点发送的接入认证请求和设备数据；对接入认证请求进行第二检验；所述第二检验包括设备身份令牌认证检验、身份认证挑战检验和密钥合法性检验；接收事件分析器对所述接入认证请求是否为入侵事件的分析结果；在第二检验通过且所述接入认证请求不为入侵事件时，确定所述物联网设备节点通过认证，将表征物联网设备通过认证的通知信息和所述设备数据上传至云端授权节点。本发明用以提升物联网设备认证的效率、可拓展性、高可用性和信息安全性。高可用性和信息安全性。高可用性和信息安全性。


技术研发人员：英继越 邬子庄 闫旭芃 朱休暄
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.07.11
技术公布日：2023/8/24